Ενιαία σύνδεση πλατφόρμας για macOS
Με την Ενιαία σύνδεση πλατφόρμας, εσείς (ή ένας δημιουργός που ειδικεύεται στη διαχείριση ταυτοτήτων) μπορείτε να δημιουργήσετε επεκτάσεις Ενιαίας σύνδεσης που επιτρέπουν στους χρήστες να χρησιμοποιούν τον λογαριασμό του οργανισμού σας από έναν πάροχο ταυτότητας σε Mac κατά την αρχική διαμόρφωση.
Δυνατότητες
Η Ενιαία σύνδεση πλατφόρμας υποστηρίζει τις ακόλουθες δυνατότητες:
Ενεργοποιήστε και επιβάλετε την Ενιαία σύνδεση πλατφόρμας κατά την Αυτοματοποιημένη εγγραφή συσκευής για έλεγχο ταυτότητας της εγγραφής, συνδεθείτε με έναν Διαχειριζόμενο λογαριασμό Apple και δημιουργήστε έναν τοπικό χρήστη.
Παροχή εμπειρίας ενιαίας σύνδεσης για εγγενείς και διαδικτυακές εφαρμογές.
Λάβετε πληροφορίες για την Ενιαία σύνδεση πλατφόρμας στις Ρυθμίσεις συστήματος.
Συγχρονίστε τα συνθηματικά τοπικών λογαριασμών χρηστών με τον πάροχο ταυτότητας, και καθορίστε πολιτικές εισόδου.
Καθορίστε ομαδικά δικαιώματα λογαριασμών παρόχου ταυτότητας και επιτρέψτε στους χρήστες να χρησιμοποιούν δικτυακούς μόνο λογαριασμούς παρόχου ταυτότητας σε προτροπές εξουσιοδότησης.
Δημιουργία τοπικών λογαριασμών χρηστών κατ’ απαίτηση κατά την είσοδο με διαπιστευτήρια από λογαριασμό παρόχου ταυτότητας.
Υποστήριξη επισκεπτών χρηστών που πραγματοποιούν προσωρινή είσοδο με τα διαπιστευτήρια παρόχου ταυτότητας σε κοινόχρηστους υπολογιστές Mac.
Σημείωση: Οι περισσότερες δυνατότητες απαιτούν υποστήριξη από την επέκταση Ενιαίας σύνδεσης πλατφόρμας. Για να μάθετε περισσότερα σχετικά με την υλοποίηση της Ενιαίας σύνδεσης πλατφόρμας στον οργανισμό σας, συμβουλευτείτε την τεκμηρίωση του παρόχου ταυτότητας.
Απαιτήσεις
Mac με Apple Silicon ή Mac με επεξεργαστή Intel και Touch ID
Μια υπηρεσία διαχείρισης συσκευών που υποστηρίζει τη ρύθμιση παραμέτρων της Επεκτάσιμης Ενιαίας σύνδεσης, το οποίο περιλαμβάνει υποστήριξη για την Ενιαία σύνδεση πλατφόρμας
Μια εφαρμογή που περιέχει επέκταση Ενιαίας σύνδεσης πλατφόρμας που είναι συμβατή με τον πάροχο ταυτότητας
macOS 13 ή μεταγενέστερη έκδοση
Οι ακόλουθες δυνατότητες έχουν επιπλέον απαιτήσεις έκδοσης:
Δυνατότητα | Ελάχιστη υποστηριζόμενη έκδοση λειτουργικού συστήματος | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Λειτουργία επισκέπτη με έλεγχο ταυτότητας | macOS 26 | ||||||||||
Αγγίξτε για είσοδο | macOS 26 | ||||||||||
Ενιαία σύνδεση πλατφόρμας κατά την αυτοματοποιημένη εγγραφή συσκευής | macOS 26 | ||||||||||
Πρόθεμα UPN ως όνομα τοπικού λογαριασμού | macOS 15.4 | ||||||||||
Βεβαίωση για αναγνωριστικά συσκευών | macOS 15.4 | ||||||||||
Πολιτικές εισόδου | macOS 15 | ||||||||||
Δημιουργία λογαριασμού κατ’ απαίτηση | macOS 14 | ||||||||||
Διαχείριση ομάδων και εξουσιοδότηση δικτύου | macOS 14 | ||||||||||
Ενιαία σύνδεση πλατφόρμας στις Ρυθμίσεις συστήματος | macOS 14 | ||||||||||
Διαμόρφωση της Ενιαίας σύνδεσης πλατφόρμας
Για να χρησιμοποιήσετε την Ενιαία σύνδεση πλατφόρμας, το Mac και κάθε χρήστης πρέπει να εγγραφούν στον πάροχο ταυτότητας. Ανάλογα με την υποστήριξη του παρόχου ταυτότητας και την εφαρμοζόμενη ρύθμιση παραμέτρων, το Mac μπορεί να εκτελέσει σιωπηλά την εγγραφή συσκευής στο παρασκήνιο χρησιμοποιώντας τα εξής:
Ένα διακριτικό εγγραφής που δόθηκε στη ρύθμιση παραμέτρων της Διαχείρισης συσκευών
Μια βεβαίωση που παρέχει ισχυρή διασφάλιση σχετικά με τα αναγνωριστικά συσκευών (UDID και σειριακός αριθμός)
Για διατήρηση αξιόπιστης σύνδεσης με τον πάροχο ταυτότητας ανεξάρτητα από τον χρήστη, η Ενιαία σύνδεση πλατφόρμας υποστηρίζει τα κοινόχρηστα κλειδιά συσκευής. Χρησιμοποιήστε κοινόχρηστα κλειδιά συσκευής όποτε είναι δυνατό, καθώς απαιτούνται για δυνατότητες όπως η Ενιαία σύνδεση πλατφόρμας κατά την Αυτοματοποιημένη εγγραφή συσκευής, η δημιουργία λογαριασμών χρηστών κατ’ απαίτηση βάσει πληροφοριών από τον πάροχο ταυτότητας, εξουσιοδότηση δικτύου και τη Λειτουργία επισκέπτη με έλεγχο ταυτότητας.
Μετά την επιτυχή εγγραφή συσκευής, ο χρήστης εγγράφεται (εκτός αν ο λογαριασμός χρήστη χρησιμοποιεί τη Λειτουργία επισκέπτη με έλεγχο ταυτότητας). Αν πάροχος ταυτότητας το απαιτεί, η εγγραφή χρήστη μπορεί να περιλαμβάνει την προτροπή του χρήστη να επιβεβαιώσει την εγγραφή του. Για τους τοπικούς λογαριασμούς χρηστών που δημιουργεί κατ’ απαίτηση η Ενιαία σύνδεση πλατφόρμας, η εγγραφή χρήστη γίνεται αυτόματα στο παρασκήνιο.
Σημείωση: Αν εγγράψετε ένα Mac από την υπηρεσία διαχείρισης συσκευών, καταργείται επίσης η εγγραφή του από τον πάροχο ταυτότητας.
Μέθοδοι ελέγχου ταυτότητας
Η Ενιαία σύνδεση πλατφόρμας υποστηρίζει διαφορετικές μεθόδους ελέγχου ταυτότητας μέσω παρόχου ταυτότητας. Η υποστήριξη για κάθε δυνατότητα εξαρτάται από τον πάροχο ταυτότητας και την επέκταση Ενιαίας σύνδεσης πλατφόρμας.
Συνθηματικό: Με αυτήν τη μέθοδο, ένας χρήστης πραγματοποιεί έλεγχο ταυτότητας με ένα τοπικό συνθηματικό ή συνθηματικό IdP. Υποστηρίζει επίσης το WS-Trust, που επιτρέπει στον χρήστη να κάνει έλεγχο ταυτότητας ακόμη κι όταν ο πάροχος ταυτότητας που διαχειρίζεται τον λογαριασμό του είναι ομόσπονδος.
Κλειδί με υποστήριξη Secure Enclave: Με αυτήν τη μέθοδο, ένας χρήστης που συνδέεται στο Mac του μπορεί να χρησιμοποιήσει ένα κλειδί που υποστηρίζεται από το Secure Enclave για έλεγχο ταυτότητας με τον πάροχο ταυτότητας (IdP) χωρίς συνθηματικό. Ο πάροχος ταυτότητας διαμορφώνει το κλειδί με υποστήριξη Secure Enclave κατά τη διαδικασία εγγραφής του χρήστη.
Έξυπνη κάρτα: Με αυτήν τη μέθοδο, ένας χρήστης πραγματοποιεί έλεγχο ταυτότητας μέσω παρόχου ταυτότητας χρησιμοποιώντας μια έξυπνη κάρτα. Για να χρησιμοποιήσετε αυτήν τη μέθοδο, πρέπει να κάνετε τα εξής:
Εγγράψτε την έξυπνη κάρτα στον πάροχο ταυτότητας.
Διαμορφώστε την αντιστοίχιση χαρακτηριστικών έξυπνης κάρτας στο Mac.
Για λεπτομέρειες και ένα παράδειγμα ρύθμισης παραμέτρων της αντιστοίχισης χαρακτηριστικών, δείτε τη σελίδα man για το έργο «Smart Card Services».
Κλειδί πρόσβασης: Με αυτήν τη μέθοδο, οι χρήστες χρησιμοποιούν ένα πάσο που είναι αποθηκευμένο στο Πορτοφόλι Apple για έλεγχο ταυτότητας μέσω παρόχου ταυτότητας. Όπως μια έξυπνη κάρτα, το κλειδί πρόσβασης πρέπει να εγγραφεί στον πάροχο ταυτότητας.
Ορισμένες λειτουργίες, όπως η δημιουργία λογαριασμών χρηστών κατ’ απαίτηση, απαιτούν τη χρήση μιας συγκεκριμένης μεθόδου ελέγχου ταυτότητας.
Δυνατότητα | Συνθηματικό | Κλειδί με υποστήριξη Secure Enclave | Έξυπνη κάρτα | Κλειδί πρόσβασης | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Διαχείριση ομάδων |  | | | | |||||||
Αυτοματοποιημένη εγγραφή συσκευής | | | |  | |||||||
Λειτουργία επισκέπτη με έλεγχο ταυτότητας | | | | | |||||||
Δημιουργία λογαριασμού κατ’ απαίτηση | | | | | |||||||
Συγχρονισμός συνθηματικών | | | | | |||||||
Σημείωση: Η επέκταση Ενιαίας σύνδεσης πρέπει να υποστηρίζει τη ζητούμενη μέθοδο για εκτέλεση της εγγραφής. Υποστηρίζεται επίσης η εναλλαγή μεταξύ μεθόδων. Για παράδειγμα, όταν δημιουργηθεί ένας νέος λογαριασμός χρήστη κατά την είσοδο με όνομα χρήστη και συνθηματικό, μπορεί να γίνει εναλλαγή λογαριασμού για χρήση κλειδιού με υποστήριξη Secure Enclave ή έξυπνης κάρτας μετά την επιτυχή είσοδο.
Ενιαία σύνδεση πλατφόρμας κατά την αυτοματοποιημένη εγγραφή συσκευής
Οι οργανισμοί μπορούν να ενεργοποιήσουν και να επιβάλουν την Ενιαία σύνδεση πλατφόρμας κατά τη διάρκεια του Βοηθού διαμόρφωσης με την Αυτοματοποιημένη εγγραφή συσκευής. Αυτή είναι μια επιλογή για συσκευές ενός χρήστη, επειδή ο χρήστης που πραγματοποιεί έλεγχο ταυτότητας για την εγγραφή λαμβάνει αυτόματα έναν τοπικό λογαριασμό και μπορεί να χρησιμοποιήσει άμεσα την Ενιαία σύνδεση σε υποστηριζόμενες εγγενείς και διαδικτυακές εφαρμογές.
Η διαδικασία λειτουργεί ως εξής:
Το macOS ζητά την εγγραφή και ενημερώνει την υπηρεσία διαχείρισης συσκευών ότι υποστηρίζει την Ενιαία σύνδεση πλατφόρμας κατά την εγγραφή.
Η υπηρεσία διαχείρισης συσκευών επιστρέφει σφάλμα 403 που περιλαμβάνει πληροφορίες σχετικά με το πού μπορείτε να βρείτε τη ρύθμιση παραμέτρων Ενιαίας σύνδεσης και το πακέτο που περιέχει μια εφαρμογή με την επέκταση Ενιαίας σύνδεσης.
Το macOS κάνει λήψη και εγκατάσταση της επέκτασης και της ρύθμισης παραμέτρων της Ενιαίας σύνδεσης πλατφόρμας.
Το macOS διαμορφώνει την Ενιαία σύνδεση πλατφόρμας και εκτελεί εγγραφή συσκευής. Αν έχει διαμορφωθεί η βεβαίωση, η εγγραφή γίνεται αθόρυβα στο παρασκήνιο. Στη συνέχεια, το macOS προτρέπει τον χρήστη να κάνει έλεγχο ταυτότητας μέσω του παρόχου ταυτότητάς του χρησιμοποιώντας μία από τις μεθόδους που αναφέρθηκαν προηγουμένως για εγγραφή χρήστη. Οι χρήστες δεν μπορούν να προχωρήσουν χωρίς επιτυχή εγγραφή στην Ενιαία σύνδεση πλατφόρμας.
Ο πάροχος ταυτότητας χειρίζεται τον έλεγχο ταυτότητας.
Μετά από επιτυχή έλεγχο ταυτότητας, ο πάροχος ταυτότητας επιστρέφει ένα διακριτικό φορέα στο macOS.
Το macOS χρησιμοποιεί το διακριτικό φορέα για έλεγχο ταυτότητας της εγγραφής στην υπηρεσία διαχείρισης συσκευών και, αν είναι ομόσπονδος λογαριασμός με τον ίδιο πάροχο ταυτότητας, μπορεί να συνδέσει τον χρήστη στον Διαχειριζόμενο λογαριασμό Apple του χωρίς να χρειαστεί να εισαγάγει ξανά τα διαπιστευτήριά του. Για να λειτουργήσει αυτό, το παράθυρο του Βοηθού διαμόρφωσης iCloud πρέπει να είναι ορατό στον χρήστη.
Το macOS δημιουργεί έναν τοπικό λογαριασμό και το συνθηματικό είτε συγχρονίζεται με τον πάροχο ταυτότητας είτε ο χρήστης ορίζει ένα τοπικό συνθηματικό (όταν η Ενιαία σύνδεση πλατφόρμας χρησιμοποιεί ένα κλειδί που υποστηρίζεται από το Secure Enclave). Αν χρειαστεί, μπορείτε να επιβάλετε απαιτήσεις πολυπλοκότητας συνθηματικού για το τοπικό συνθηματικό χρησιμοποιώντας τη ρύθμιση παραμέτρων «Κωδικός».
Αν έχει διαμορφωθεί, το macOS μπορεί να συγχρονίσει την εικόνα προφίλ εισόδου του τοπικού λογαριασμού από τον πάροχο ταυτότητας.
Μπορείτε να χρησιμοποιήσετε την Ενιαία σύνδεση πλατφόρμας κατά την Αυτοματοποιημένη εγγραφή συσκευής με υποχρεωτική ενημέρωση λογισμικού. Σε αυτήν την περίπτωση, η υπηρεσία διαχείρισης συσκευών πρέπει να επιβάλει πρώτα την ενημέρωση.
Αν ο λογαριασμός χρήστη που δημιουργεί το macOS είναι ο μόνος στο Mac, γίνεται λογαριασμός διαχειριστή. Αν η υπηρεσία διαχείρισης συσκευών δημιούργησε έναν λογαριασμό διαχειριστή χρησιμοποιώντας την εντολή ρύθμισης παραμέτρων λογαριασμού, μπορείτε να αντιστοιχίσετε διαφορετικά προνόμια στον λογαριασμό χρήστη χρησιμοποιώντας τη διαχείριση ομάδων Ενιαίας σύνδεσης πλατφόρμας.
Ενιαία σύνδεση
Καθώς η Ενιαία σύνδεση πλατφόρμας αποτελεί μέρος της Επεκτάσιμης ενιαίας σύνδεσης, παρέχει τις ίδιες δυνατότητες ενιαίας σύνδεσης και επιτρέπει στους χρήστες να πραγματοποιήσουν είσοδο μία φορά και μετά να χρησιμοποιείται το διακριτικό που δόθηκε κατά τον αρχικό έλεγχο ταυτότητας για έλεγχο ταυτότητας σε υποστηριζόμενες εγγενείς και διαδικτυακές εφαρμογές.
Αν τα διακριτικά δεν υπάρχουν, έχουν λήξει ή είναι παλαιότερα των τεσσάρων ωρών, η Ενιαία σύνδεση πλατφόρμας προσπαθεί να τα ανανεώσει ή να ανακτήσει νέα από τον πάροχο ταυτότητας. Επιπλέον, μπορείτε να διαμορφώσετε μια διάρκεια σε δευτερόλεπτα (1 ώρα κατ' ελάχιστο) μέχρι η Ενιαία σύνδεση πλατφόρμας να απαιτήσει πλήρη είσοδο αντί για ανανέωση διακριτικού. Από προεπιλογή, απαιτείται πλήρης είσοδος κάθε 18 ώρες.
Ενιαία σύνδεση πλατφόρμας στις Ρυθμίσεις συστήματος
Μετά την εγγραφή της Ενιαίας σύνδεσης πλατφόρμας, ο χρήστης μπορεί να επιθεωρήσει την κατάσταση εγγραφής χρήστη στις «Ρυθμίσεις συστήματος» > «Χρήστες και ομάδες» > [όνομα χρήστη]. Αν χρειαστεί, μπορεί να ξεκινήσει μια επισκευή της εγγραφής και να επιβάλει ανανέωση του διακριτικού ελέγχου ταυτότητας.
Η κατάσταση εγγραφής της συσκευής είναι ορατή στους «Χρήστες και ομάδες» > «Διακομιστής λογαριασμού δικτύου» και προσφέρει επίσης μια επιλογή για εκτέλεση επισκευής.
Συγχρονισμός συνθηματικών και πολιτικές εισόδου
Αν χρησιμοποιείτε τη μέθοδο ελέγχου ταυτότητας με συνθηματικό, το συνθηματικό τοπικού χρήστη συγχρονίζεται αυτόματα με τον πάροχο ταυτοποίησης κάθε φορά που ένας χρήστης αλλάζει το συνθηματικό του, είτε τοπικά είτε εξ αποστάσεως. Αν χρειαστεί, το macOS θα ζητήσει από τον χρήστη να εισαγάγει το προηγούμενο συνθηματικό του.
Από προεπιλογή, απαιτείται το συνθηματικό του τοπικού λογαριασμού για ξεκλείδωμα του FileVault, της οθόνης κλειδώματος και στο παράθυρο εισόδου. Αν το συνθηματικό που εισαγάγατε δεν ταιριάζει με το συνθηματικό του τοπικού λογαριασμού χρήστη, το macOS θα επιχειρήσει να επικοινωνήσει με τον πάροχο ταυτότητας για ζωντανό έλεγχο ταυτότητας. Αν το macOS δεν μπορεί να επικοινωνήσει με τον πάροχο ταυτότητας ή το συνθηματικό που εισαγάγατε δεν ταιριάζει με το συνθηματικό που έχει αποθηκεύσει ο πάροχος ταυτότητας, ο έλεγχος ταυτότητας θα αποτύχει.
Με τις πολιτικές εισόδου, μπορείτε να επιτρέψετε την άμεση χρήση του τρέχοντος συνθηματικού από τον πάροχο ταυτότητας σε αυτές τις τρεις περιπτώσεις. Μπορείτε επίσης να ορίσετε τις ακόλουθες πολιτικές ξεχωριστά για το FileVault, την οθόνη κλειδώματος και το παράθυρο εισόδου:
Απόπειρα ελέγχου ταυτότητας.
Αν έχει διαμορφωθεί, πραγματοποιείται απόπειρα ζωντανού ελέγχου ταυτότητας μέσω παρόχου ταυτότητας.
Αν το Mac είναι συνδεδεμένο στο Διαδίκτυο, απαιτείται επιτυχής έλεγχος ταυτότητας μέσω παρόχου ταυτότητας για να συνεχιστεί η διαδικασία, ακόμη κι αν το Mac είναι εκτός σύνδεσης μετά την πρώτη απόπειρα.
Αν ο έλεγχος ταυτότητας είναι επιτυχής, η Ενιαία σύνδεση πλατφόρμας ενημερώνει τον τοπικό κωδικό.
Αν το Mac είναι εκτός σύνδεσης, ο χρήστης μπορεί να χρησιμοποιήσει το συνθηματικό του τοπικού λογαριασμού του.
Απαίτηση ελέγχου ταυτότητας.
Αν έχει διαμορφωθεί, απαιτείται ζωντανός έλεγχος ταυτότητας μέσω παρόχου ταυτότητας για μετάβαση στο επόμενο βήμα.
Αν το Mac είναι συνδεδεμένο στο Διαδίκτυο, απαιτείται επιτυχής έλεγχος ταυτότητας μέσω παρόχου ταυτότητας για να συνεχιστεί η διαδικασία, ανεξάρτητα από την περίοδο χάριτος εκτός σύνδεσης που έχει οριστεί.
Αν ο έλεγχος ταυτότητας είναι επιτυχής, η Ενιαία σύνδεση πλατφόρμας ενημερώνει τον τοπικό κωδικό.
Αν το Mac είναι εκτός σύνδεσης, οι χρήστες δεν θα μπορούν να πραγματοποιήσουν είσοδο. Σε αυτές τις περιπτώσεις, μπορείτε να ενεργοποιήσετε μια περίοδο χάριτος εκτός σύνδεσης και να την ορίσετε στον αριθμό ημερών μετά από προηγούμενη επιτυχημένη είσοδο, κατά τη διάρκεια της οποίας ο χρήστης μπορεί να συνεχίσει να χρησιμοποιεί το συνθηματικό του τοπικού λογαριασμού.
Μπορείτε να ορίσετε όταν ένας λογαριασμός πραγματοποιεί είσοδο στο Mac αν θα είναι υπό τη διαχείριση της Ενιαίας σύνδεσης πλατφόρμας ή αν εξακολουθεί να επιτρέπεται η είσοδος με τοπικούς μόνο λογαριασμούς. Επίσης, μπορείτε να ορίσετε τον αριθμό ημερών μετά την εφαρμογή ή την ενημέρωση της πολιτικής μέχρι την επιβολή αυτής της ρύθμισης. Αυτό επιτρέπει την προσωρινή χρήση τοπικών λογαριασμών. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε προσωρινά έναν λογαριασμό διαχειριστή που δημιουργήθηκε από την υπηρεσία διαχείρισης συσκευών για να εκτελέσετε ή να επιδιορθώσετε την εγγραφή συσκευής με Ενιαία σύνδεση πλατφόρμας.
Αντί για ζωντανό έλεγχο ταυτότητας, μπορείτε επίσης να επιτρέψετε στους χρήστες να χρησιμοποιούν το Touch ID ή το Apple Watch στην οθόνη κλειδώματος.
Αν είναι απαραίτητο, οι τοπικοί λογαριασμοί (όπως έχουν οριστεί από εσάς) μπορούν να εξαιρεθούν από τις πολιτικές εισόδου και να μην τους ζητηθεί να εγγραφούν στην Ενιαία σύνδεση πλατφόρμας.
Διαχείριση ομάδων και εξουσιοδότηση δικτύου
Η Ενιαία σύνδεση πλατφόρμας προσφέρει λεπτομερή διαχείριση δικαιωμάτων ώστε να παρέχει στους χρήστες το σωστό επίπεδο προνομίων που χρειάζονται στο Mac τους. Για να το κάνει αυτό, η Ενιαία σύνδεση πλατφόρμας μπορεί να εφαρμόζει τα ακόλουθα προνόμια σε έναν λογαριασμό κάθε φορά που ο χρήστης πραγματοποιεί έλεγχο ταυτότητας:
Τυπικό: Ο λογαριασμός έχει προνόμια τυπικού χρήστη.
Διαχειριστής: Προσθέτει τον λογαριασμό στην ομάδα τοπικών διαχειριστών.
Ομάδες: Καθορίστε δικαιώματα βάσει της βαθμίδας μέλους σε ομάδες, τα οποία ενημερώνονται κάθε φορά που ο χρήστης πραγματοποιεί έλεγχο ταυτότητας με τον πάροχο ταυτότητας.
Όταν χρησιμοποιείτε ομάδες, ένας λογαριασμός έχει τα δικαιώματα που αντιστοιχούν στη συμμετοχή στα εξής:
Ομάδες διαχειριστών: Αν ο λογαριασμός είναι μέρος μιας ομάδας που περιλαμβάνεται στη λίστα, έχει πρόσβαση τοπικού διαχειριστή.
Ομάδες εξουσιοδότησης: Αν ο λογαριασμός ανήκει σε ομάδα που έχει αντιστοιχιστεί σε ενσωματωμένο ή προσαρμοσμένο δικαίωμα εξουσιοδότησης, τότε ο λογαριασμός έχει προνόμια που σχετίζονται με τη συγκεκριμένη ομάδα. Για παράδειγμα, το macOS χρησιμοποιεί τα ακόλουθα δικαιώματα εξουσιοδότησης:
system.preferences.datetime: επιτρέπει στον λογαριασμό να τροποποιεί τις ρυθμίσεις ώρας.system.preferences.energysaver: επιτρέπει στον λογαριασμό να τροποποιεί τις ρυθμίσεις εξοικονόμησης ενέργειας.system.preferences.network: επιτρέπει στον λογαριασμό να τροποποιεί τις δικτυακές ρυθμίσεις.system.preferences.printing: επιτρέπει στον λογαριασμό να προσθέτει ή να αφαιρεί εκτυπωτές.
Πρόσθετες ομάδες: Ομάδες που ορίζονται από τον χρήστη για macOS ή συγκεκριμένες εφαρμογές, τις οποίες το macOS δημιουργεί αυτόματα μέσα στον τοπικό κατάλογο (αν δεν υπάρχουν ήδη). Για παράδειγμα, μπορείτε να χρησιμοποιήσετε μια επιπλέον ομάδα στη ρύθμιση παραμέτρων
sudoγια να ορίσετε την πρόσβασηsudo.
Εξουσιοδότηση δικτύου
Η Ενιαία σύνδεση πλατφόρμας επεκτείνει τη χρήση των διαπιστευτηρίων παρόχου ταυτότητας σε χρήστες που δεν έχουν τοπικό λογαριασμό στο Mac για σκοπούς εξουσιοδότησης. Αυτοί οι λογαριασμοί χρησιμοποιούν τις ίδιες ομάδες όπως η διαχείριση ομάδων. Για παράδειγμα, αν ο λογαριασμός είναι μέλος μιας ομάδας διαχειριστών, μπορεί να εκτελεί προτροπές εξουσιοδότησης διαχειριστή. Για να χρησιμοποιήσετε αυτήν τη λειτουργικότητα, ρυθμίστε τις παραμέτρους της Ενιαίας σύνδεσης πλατφόρμας με κοινόχρηστα κλειδιά συσκευής.
Δεν είναι δυνατή η εξουσιοδότηση δικτύου με προτροπές εξουσιοδότησης που απαιτούν ασφαλές διακριτικό, δικαιώματα ιδιοκτησίας, ή έλεγχο ταυτότητας από τον τρέχοντα συνδεδεμένο χρήστη.
Δημιουργία λογαριασμού κατ’ απαίτηση
Για να διευκολυνθεί η διαχείριση λογαριασμών σε κοινόχρηστες αναπτύξεις, οι χρήστες μπορούν να χρησιμοποιήσουν το όνομα χρήστη και το συνθηματικό του παρόχου ταυτότητας ή μια έξυπνη κάρτα για να πραγματοποιήσουν είσοδο σε Mac και να δημιουργήσουν έναν τοπικό λογαριασμό.
Μπορείτε να επιτύχετε μια πλήρως αυτοματοποιημένη διαδικασία παροχής χρησιμοποιώντας την Αυτόματη εγγραφή συσκευής με Αυτόματη συνέχιση. Πρέπει να δημιουργήσετε τον πρώτο τοπικό λογαριασμό διαχειριστή χρησιμοποιώντας μια υπηρεσία διαχείρισης συσκευών και να εκτελέσετε σιωπηλή εγγραφή Ενιαίας σύνδεσης πλατφόρμας.
Απαιτούνται τα ακόλουθα για χρήση της δημιουργίας λογαριασμού κατ’ απαίτηση:
Εγγράψτε το Mac σε μια υπηρεσία διαχείρισης συσκευών που υποστηρίζει διακριτικά bootstrap.
Προσθέστε τα εξής: μια ρύθμιση παραμέτρων επέκτασης Ενιαίας σύνδεσης με την Ενιαία σύνδεση πλατφόρμας, κοινόχρηστα κλειδιά συσκευής και την επιλογή δημιουργίας χρήστη κατά την είσοδο.
Ολοκληρώστε τον Βοηθό διαμόρφωσης και δημιουργήστε έναν τοπικό λογαριασμό διαχειριστή.
Το Mac βρίσκεται στην οθόνη παραθύρου εισόδου, το FileVault είναι ξεκλείδωτο και υπάρχει σύνδεση δικτύου.
Χρησιμοποιώντας μια προαιρετική επιλογή ρύθμισης παραμέτρων, μπορείτε να ορίσετε ποιο χαρακτηριστικό από τον πάροχο ταυτότητας θα χρησιμοποιηθεί για το όνομα τοπικού λογαριασμού (που συχνά αποκαλείται «σύντομο όνομα χρήστη») και το πλήρες όνομα. Οι διαχειριστές μπορούν επίσης να ορίσουν το κλειδί για το όνομα λογαριασμού σε com.apple.PlatformSSO.AccountShortName για χρήση του προθέματος UPN.
Επιπλέον, μπορείτε να ορίσετε ποια προνόμια θα ισχύουν για νέους λογαριασμούς κατά την είσοδο. Διατίθενται οι ίδιες επιλογές για τη διαχείριση ομάδων:
Τυπικό: Ο λογαριασμός έχει προνόμια τυπικού χρήστη.
Διαχειριστής: Προσθέτει τον λογαριασμό στην ομάδα τοπικών διαχειριστών.
Ομάδες: Καθορίστε δικαιώματα βάσει της βαθμίδας μέλους σε ομάδες, τα οποία ενημερώνονται κάθε φορά που ο χρήστης πραγματοποιεί έλεγχο ταυτότητας με τον πάροχο ταυτότητας.
Λειτουργία επισκέπτη με έλεγχο ταυτότητας
Η Λειτουργία επισκέπτη με έλεγχο ταυτότητας παρέχει μια εμπειρία γρήγορης εισόδου για κοινόχρηστες αναπτύξεις, όπως σε ιατρεία ή σχολεία, όπου οι διαφορετικοί χρήστες δεν χρειάζεται να δημιουργήσουν τοπικό λογαριασμό, καθώς μπορούν απλώς να συνδεθούν με τα διαπιστευτήρια παρόχου ταυτότητάς τους για σύντομο χρονικό διάστημα. Ο χρήστης λαμβάνει προνόμια τυπικού χρήστη από προεπιλογή, αλλά μπορείτε να αλλάξετε αυτά τα προνόμια χρησιμοποιώντας τη διαχείριση ομάδων Ενιαίας σύνδεσης πλατφόρμας.
Για να χρησιμοποιήσετε αυτήν τη δυνατότητα, ισχύουν οι ίδιες απαιτήσεις με τη δημιουργία λογαριασμού κατ’ απαίτηση, αλλά αντί για επιλογή δημιουργίας χρήστη κατά την είσοδο, πρέπει να διαμορφώσετε τη Λειτουργία επισκέπτη με έλεγχο ταυτότητας.
Όταν ένας χρήστης πραγματοποιήσει έξοδο, το macOS διαγράφει όλα τα τοπικά δεδομένα για τον συγκεκριμένο λογαριασμό και το κοινόχρηστο Mac είναι έτοιμο για είσοδο του επόμενου χρήστη.
Αγγίξτε για είσοδο
Η δυνατότητα «Άγγιγμα για είσοδο» επεκτείνει τη λειτουργικότητα των ψηφιακών διαπιστευτηρίων από το Πορτοφόλι Apple στο macOS. Τα τελευταία χρόνια, οι οργανισμοί έχουν υιοθετήσει ψηφιακά διακριτικά στο Πορτοφόλι Apple, επιτρέποντας στους χρήστες να ξεκλειδώνουν πόρτες με ένα απλό άγγιγμα του iPhone ή του Apple Watch τους, χωρίς να χρειάζονται το φυσικό διακριτικό. Αυτή η εμπειρία είναι διαθέσιμη και σε Mac.
Αυτή η μέθοδος ελέγχου ταυτότητας είναι ιδιαίτερα χρήσιμη για οργανισμούς όπου πολλαπλοί χρήστες μοιράζονται ένα Mac, όπως εκπαιδευτικά ιδρύματα, περιβάλλοντα λιανικής και εγκαταστάσεις υγειονομικής περίθαλψης.
Με τη δυνατότητα «Άγγιγμα για είσοδο», οι χρήστες μπορούν να κάνουν έλεγχο ταυτότητας σε Mac που έχει διαμορφωθεί για τη Λειτουργία επισκέπτη με έλεγχο ταυτότητας αγγίζοντας το iPhone ή το Apple Watch τους σε μια συνδεδεμένη συσκευή ανάγνωσης NFC. Αυτό ξεκινά μια ασφαλή διαδικασία ενιαίας σύνδεσης που κάνει αυτόματα έλεγχο ταυτότητας στους χρήστες στις εφαρμογές και τους ιστοτόπους τους, επιτρέποντάς έτσι τη γρήγορη είσοδο και την έναρξη της εργασίας τους.
Τα διαπιστευτήρια χρήστη παρέχονται ως κλειδιά πρόσβασης σε ένα πάσο Πορτοφολιού Apple μέσω μιας εφαρμογής ή ενός προγράμματος περιήγησης σε iPhone. Αυτά τα κλειδιά πρόσβασης αποθηκεύονται στο Secure Enclave της συσκευής, καθιστώντας τα υποστηριζόμενα από το υλισμικό και κρυπτογραφημένα, και βοηθώντας στην προστασία από απόπειρες παραβίασης ή εξαγωγής. Η λειτουργικότητα της Λειτουργίας εξπρές βελτιώνει την ευκολία, επιτρέποντας άμεσο έλεγχο ταυτότητας χωρίς να απαιτείται από τους χρήστες να ενεργοποιήσουν ή να ξεκλειδώσουν τη συσκευή τους, όπως ακριβώς λειτουργούν οι κάρτες συγκοινωνίας στο Πορτοφόλι Apple.
Για να υλοποιηθεί η λειτουργικότητα «Άγγιγμα για είσοδο», ένα Mac πρέπει να είναι:
Διαμορφωμένο για τη Λειτουργία επισκέπτη με έλεγχο ταυτότητας
Εξοπλισμένο με υποστηριζόμενη εξωτερική συσκευή ανάγνωσης NFC
Η δημιουργία και η διαχείριση κλειδιών πρόσβασης απαιτεί συμμετοχή στο Πρόγραμμα πρόσβασης Apple Wallet. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία κλειδιού πρόσβασης, δείτε την ενότητα Παροχή στον Οδηγό προγράμματος πρόσβασης στο Πορτοφόλι Apple.